如何缓解网络攻击在内部网络的横向移动:网络微分段(MicroSegmentation)

编者按

本期小编给大家带来网络微分段安全解决方案以缓解网络攻击在内部网络横向移动攻击,有效增强组织的网络安全弹性。减少网络攻击所带来的系统服务中断或者重要业务数据丢失的潜在风险。

背景

微分段是识别组织最有价值的网段,建立严格的通信策略,精准掌握组织的网络流量。与网络性能和管理至关重要的传统网络分段不同,微分段进一步解决了与安全性和业务灵活性相关的关键问题。

作为零信任架构的核心技术,实现微分段并不是严格限制网络内的通信。相反,通过增强对数据流动方式的可见性,网络管理员可以与业务和安全分析师合作创建应用程序启用策略。为您的组织成功实施微分段意味着标记流量、为常规业务通信提供服务、适应威胁并阻断所有其他恶意访问。

本文深入探讨了微分段的方法、您的组织可以采取的实施微分段的步骤,以及为什么您今天可以朝着阻断横向渗透攻击的方向发展。

什么是微分段

微分段是一种网络安全技术,使安全架构师能够在逻辑上将组织网络划分为不同的安全段,然后为每个独特的段定义安全控制并提供服务。微分段使 IT 能够使用网络虚拟化技术在数据中心深处部署灵活的安全策略,而不是安装多个物理防火墙。此外,微分段可用于通过策略驱动的应用程序级安全控制来保护企业网络中的每个节点。由于安全策略适用于不同的工作负载,微分段软件可以显着增强公司对攻击的抵抗力。那么究竟什么是微分段?对于提供微分段的解决方案,需要结合以下功能,从而能够实现下述结果。

用于拓扑不分段的分布式状态防火墙——通过分布式状态防火墙和 ALG(应用级网关)在每个工作负载的粒度上减少组织边界内的攻击面,而不管底层 L2 网络拓扑如何(即可能在逻辑网络覆盖或底层VLAN)。

分布式服务的集中策略控制——支持通过 RESTful API或集成云管理平台 (CMP) 以编程方式创建和提供安全策略的能力。

由高级策略对象实现的细粒度单元级控制——能够将安全组用于基于对象的策略应用程序,创建不依赖于网络构造的细粒度应用程序级别控制(即安全组可以使用动态构造,例如操作系统类型、VM名称或静态构造,例如活动目录组、逻辑交换机、VM、端口组IPset等)。现在,每个应用程序都可以拥有自己的安全边界,而无需依赖 VLAN。

基于网络覆盖的隔离和分段——基于逻辑网络覆盖的隔离和分段,可以跨越机架或数据中心而不管底层网络硬件如何,支持集中管理的多数据中心安全策略,每个结构多达1600万个基于覆盖的分段。

策略驱动的单元级服务插入和流量控制——支持与第三方解决方案的集成,以实现高级IDS/IPS和访客控制功能。

如何实现微分段

微分段的方法

在零信任的概念出现十年后,网络安全行业有四种实现微分段的方法:网络结构、管理程序、代理或 NFGW。虽然所有四种方法都可以帮助您的组织转向微分段,但有些方法对于全面的网络安全细节上仍然有不少差异。

基于结构的方法

第一种方法是将网络结构加倍以进行细分。Gartner将基于结构的基础设施 (FBI)称为硬件和软件的垂直集成,提供对您的基础设施的“实时”管理访问。对于传统数据中心(DC)和软件定义数据中心 (SDDC),使用网络结构可能是必不可少的实施点。然而,在云环境中通过网络结构实现微分段是另一回事。

使用管理程序

另一种途径是在管理程序级别内置的微分段。与基于结构的方法一样,网络管理程序,充当跨设备网络流量的执行点。此外,与网络结构一样,管理程序也适用于 SDDC 环境。使用管理程序可以消除为每台机器管理和修补软件的需要。这种方法还促进了微分段的常见做法——安全分析师和网络管理员之间的自然协作。

外包端点保护

第三种方法是向专门从事端点保护的供应商寻求帮助。这种基于代理的方法转化为对您的策略的实时保护。外包端点代理会干扰内部网络和安全力量之间的协作,但这是一种组织选择。代理解决方案和 NGFW 可以在所有三种环境中工作。

主要的端点安全供应商包括 BitDefender、Check Point、CrowdStrike、Sophos、Symantec、Trend Micro 和 VMWare。

提升下一代防火墙

最后,可能是最先进的微分段方法是下一代防火墙 (NGFW)。NGFW 可在所有三种环境中工作,并提供第7层的安全性,使其成为深度数据包检测、应用程序控制和 IDPS 的重要工具。虽然 NGFW 供应商最初并不打算用于云,但越来越多地以防火墙即服务 (FWaaS) 的形式提供他们的安全解决方案。

主要的 NGFW 供应商包括梭子鱼、思科、Fortinet、华为、瞻博网络、Palo Alto Networks 和 SonicWall。

环境和安全与微分段

在考虑不同的微分段方法时,网络的环境和安全要求是方便的指标。目前,资产正在从传统 DC 转移到 SDDC 和公共或多云环境,而没有进一步的保护措施。

应用级策略正在迅速成为网络安全的标准,这使得前三种方法比没有 NGFW 的能力要小。网络结构和供应商方法只能为第 2-4 层提供保护,而利用 NGFW 是识别威胁和完整的第 7 层可见性和实施安全性的唯一方法。启用多种方法的组织只会增加他们的安全状况,可能会在网络结构或管理程序级别阻止恶意流量,甚至在它到达您的内部防火墙之前。

微分段的最佳实践

对于微分段,它与过程和技术一样重要。不按照步骤一丝不苟,只会拖延项目,造成不必要的麻烦。

不遗漏流量

微分段意味着南北和东西交通流的无瑕疵可见性。在网络发现阶段,收集的信息应该是关于应用程序、工作负载和它们之间的活动连接。额外的来源可能是配置管理数据库 (CMDB)、编排工具、系统清单、流量添加事件日志、防火墙和 SIEM 以及负载平衡器。

根据您的 IT 团队的规模和资源,供应商还提供第三方或可配置软件,用于跨本地和云网络基础设施映射事务流。映射这些流至关重要,因为您不想在关闭不必要的连接的同时抑制日常业务通信。

迈向零信任

微分段和零信任架构齐头并进。在当前的网络繁杂的数据通讯中,您的攻击面(通常被视为您的网络边界)是无法管理的。通过仔细记录和识别“保护面”,即您最有价值的部分,为管理员提供了明确的步骤指导。

您的保护表面,如您的数据、应用程序、资产和服务 (DAAS) 是优先事项。这些部分通常对组织的生存、合规性相关或可利用性至关重要。一旦定义,建立分段网关或 NGFW 的工作就开始了。

根据零信任框架,最终目标必须是白名单。借助可视化技术来协助管理策略规则和威胁,微分段的结果是一个拒绝任何异常的网络。所有流量都是已知的、标记的或经过验证的,从而防止任何与信任相关的潜在漏洞。

标记您的工作负载

标记工作负载是任何组织的下一个重大升级。虽然安全专业人员曾经编写基于 IP 和子网的策略并依赖于 VLAN/IP/VRF 等网络结构,但那些日子已经成为过去。

在考虑用于标记现有和新应用程序工作负载的自动化解决方案时,识别和标记网络内的工作负载标签是一项令人难以置信的增值。随着云计算的可扩展性和扩展性的吸引力,工作负载标记允许强大的安全性和业务敏捷性。组织的工作负载标签通常包括:

角色

应用

分类

遵守

环境

地点

制定综合政策

全面的策略需要严格的安全策略和威胁检测。在微分段的情况下,这些策略存在于网络中的微边界处。整个微分段策略网络的功能必须包括应用 ID、用户 ID、基于文件的限制、URL 过滤和威胁预防等控制。

在转向执行之前,没有用于测试您的策略的行业标准。由于零信任基础设施和微分段的性质是网络自定义的,因此它是否满足您的要求是一个内部问题。不优先考虑综合策略可能会让您的团队难以分割 HTTP/2 应用程序和SSL解密,或者面临DNS隧道等攻击的风险。

执行适应性政策

虽然微分段可以帮助您清楚地了解现有网络,但它也需要是一种自适应解决方案。这一步需要全面了解威胁预防、恶意软件和网络钓鱼以及实时防火墙日志。随着新 IP 不断进出网络,基于标签的自动化系统是未来。借助自动化和机器学习技术,这些日志通过细粒度过滤存在,您的系统可以动态地为以前未识别的工作负载提供标签。这方面的一个示例可能是要求对标记为已泄露的 IP 地址进行 MFA。

启动您的行动计划

在 John Friedman 和 Illumio 的“微分段权威指南”中,您可以深入了解有关实施微分段的原因、内容、地点、时间和方式的技术细节。至于实施步骤,弗里德曼先生提供了我们简要描述的十二个步骤:

不要急于求成。循序渐进,注意过程。

选择项目团队。通常包括:执行官、安全架构师、技术主管和项目管理人员(考虑供应商)。

培训团队。就微分段的目的和功能对所有团队成员进行教育。

设计文档和项目计划。向完整微分段执行的长期计划的飞跃。

安装微分段解决方案。开始在有反馈的应用程序上测试微分段。

集成日志、事件和威胁。大规模部署集成日志和事件管理工具以监控网络流量。

确定应用程序组的优先级。根据安全/业务优先级和微分段的难易程度对应用程序组进行排名和标记。

发现和可见性。对于每个应用程序组,您现在重复以下步骤以更好地了解流量、建模潜在策略,然后测试策略。一旦到了执行这些政策的时候,快速响应期就开始了,以确保一切按计划进行。

示范政策

测试政策

准备好解决问题

扩展和细化。实施后,不要解散项目团队。部署后计划必须包括对新系统的问责制

为什么要微分段?

当微分段可以防止或缓冲危害敏感数据和资产的攻击时,它的好处是无穷无尽的。分析师估计,扁平网络上 70-80% 的流量是东西向的,因此在您的网络中,用户、应用程序和设备之间几乎可以进行自由范围的通信。这一现实为恶意行为者打开了窗口,他们可以从外围供应链网络横向移动到关键任务数据和系统。

除了防止其横向移动攻击,实施微分段也是对组织时间的有效利用。安全专业人员知道保护整个攻击面的日子很短。通过定义保护表面,保护最重要的内容变得极端重要同时确保您的安全方案符合所有合规标准。

结语

微分段真正是关于掌握您的网络流量。通过可视化网段的连接性并围绕网段建立细粒度的策略和自适应管理,防止横向移动没有问题。当然,完成网络微分段的道路并不容易。它需要充足的时间、计划和资源来克服挑战。如果做得好,实施微分段的好处是无价的。

文章来源:网络安全与网络战